用于為虛擬化系統(tǒng)（106）中的安全相關(guān)的特定于域的應(yīng)用程序（112?1）提供安全執(zhí)行環(huán)境（116?1）的系統(tǒng)（100）、安全域（118?1）和方法。

技術(shù)領(lǐng)域

本發(fā)明涉及一種用于為安全相關(guān)的應(yīng)用程序提供安全執(zhí)行環(huán)境的方法、系統(tǒng)和域。

背景技術(shù)

從現(xiàn)有技術(shù)公知安全擴(kuò)展，例如基于POSIX的系統(tǒng)的安全擴(kuò)展，這些安全擴(kuò)展通常基于特殊的TEE，即可信執(zhí)行環(huán)境（Trusted Execution Environment）。例如，TEE基于片上系統(tǒng)、即Sytem on Chip、即SoC或者微處理器內(nèi)核的硬件擴(kuò)展。TEE在內(nèi)核層面作為最高特權(quán)執(zhí)行模式來被提供，該最高特權(quán)執(zhí)行模式甚至高于操作系統(tǒng)或管理程序?qū)用妗?/p>

現(xiàn)有的TEE軟件實(shí)現(xiàn)并未確保功能安全。這對于消費(fèi)類設(shè)備、諸如智能電話來說是可接受的，原因在于在這些消費(fèi)類設(shè)備的情況下防操縱是首要任務(wù)。這些設(shè)備不必滿足關(guān)于功能安全的高要求。在關(guān)于功能安全方面必須滿足高要求的系統(tǒng)中，這種以最高特權(quán)級別來運(yùn)行并控制HW（硬件）資源的非功能安全的安全環(huán)境違反了這些目標(biāo)。存在一些擴(kuò)展，這些擴(kuò)展將一些操作系統(tǒng)/調(diào)度機(jī)制引入該TEE域（以便能夠?qū)崿F(xiàn)第三方提供商等等的集成，例如基于ARM信任區(qū)（ARM-Trust-Zone）），但是這里的重點(diǎn)也在于安全和隔離問題而不是在于Safety。主要因?yàn)橛糜谶@些系統(tǒng)的主TEE框架（包括OS（操作系統(tǒng)）隔離能力在內(nèi)）也不符合安全要求。

對于具有對功能安全的高要求的多域系統(tǒng)來說，當(dāng)前的TEE系統(tǒng)的應(yīng)用范圍非常有限。這些TEE系統(tǒng)要么完全控制SoC，但是不支持任何安全目標(biāo)，要么在單個域內(nèi)運(yùn)行并且不向其它域提供安全接口。

發(fā)明內(nèi)容

實(shí)施方式涉及一種用于為虛擬化系統(tǒng)中的安全相關(guān)的特定于域的應(yīng)用程序提供安全執(zhí)行環(huán)境的方法，在該虛擬化系統(tǒng)中，至少兩個虛擬機(jī)共享借助于管理程序來虛擬化的硬件層，其中在硬件層與應(yīng)用層之間設(shè)置中間件層，其中該中間件層被設(shè)立用于提供用來執(zhí)行安全域的至少一個安全相關(guān)的特定于域的應(yīng)用程序的安全執(zhí)行環(huán)境和用來執(zhí)行另一域的至少一個其它特定于域的應(yīng)用程序的至少一個其它執(zhí)行環(huán)境，其中該安全域被設(shè)立為滿足Safety要求和Security要求。

域是指由該虛擬化系統(tǒng)來提供的整體功能的特定范圍。該范圍包括該系統(tǒng)的對于執(zhí)行特定于域的應(yīng)用程序來說所需的部分。例如，域可包括一個或多個控制設(shè)備和將所述一個或多個控制設(shè)備連接的數(shù)據(jù)線。

安全域包括安全相關(guān)的特定于域的應(yīng)用程序。其它域例如是質(zhì)量相關(guān)域、即QM域、通信域，等等。

Security尤其是指操縱安全，例如防止來自外部的攻擊，尤其是密碼攻擊和邊信道攻擊。

Safety是指功能安全。對于汽車領(lǐng)域中的應(yīng)用程序來說，功能安全例如依據(jù)風(fēng)險分類方案ASIL來被規(guī)定，該風(fēng)險分類方案在ISO 26262標(biāo)準(zhǔn)——用于道路車輛的功能安全（Safety）——下被限定。該標(biāo)準(zhǔn)限定了四個ASIL級別A至D。ASIL D規(guī)定了對產(chǎn)品的最高完整性要求，ASIL A規(guī)定了對產(chǎn)品的最低完整性要求。

提出：建立單獨(dú)的安全域，該安全域不僅滿足Safety要求而且滿足Security要求。因此，安全相關(guān)的應(yīng)用程序不再需要被集成到具有最高特權(quán)的TEE中，其中該TEE尤其是只滿足Security要求但是不滿足Safety要求。

相比于從現(xiàn)有技術(shù)中已知的硬件/軟件TEE，該單獨(dú)的安全域具有如下優(yōu)點(diǎn)：

在該安全域的情況下，不依賴于開源軟件（Open-Source-Software）、諸如ARM可信固件，并且因此不存在OSS維護(hù)花費(fèi)。該安全域獨(dú)立于底層操作系統(tǒng)和管理程序支持。因此，移植花費(fèi)低并且在操作系統(tǒng)和/或管理程序提供商的選擇方面的靈活性更高。無論如何，密鑰存儲都是在硬件平臺上的特定的安全硬件元素的一部分。因此，使用TEE來在那里存儲密鑰沒有任何益處。